Lesezeit: .
Waren früher oft nur Webseiten mittels HTTPS gesichert, auf denen sensible Daten übertragen werden, findet man heute kaum noch ungesicherte Inhalte im Netz – und das hat einen guten Grund.
Das HTTPS-Protokoll (Hypertext Transfer Protocol Secure) erlaubt den Aufbau von verschlüsselten Verbindungen im Internet. Die meisten Webdienste für Online-Banking, E-Commerce oder auch die Kommunikation per Chat oder E-Mail sind maßgeblich auf die kryptografische Technologie angewiesen. HTTPS schützt in diesen Anwendungen sensible Daten vor unberechtigtem Zugriff und Manipulation von außen.
HTTPS wird Standard
Noch vor wenigen Jahren setzten Webmaster die HTTPS-Technologie ausschließlich auf Webseiten ein, auf denen auch sensible Inhalte verarbeitet wurde, wie etwa beim Online-Banking oder im E-Commerce. Mittlerweile hat sich das verschlüsselte Übertragungsprotokoll allerdings als Standard im Internet durchgesetzt. Die meisten Seitenbetreiber sichern heutzutage ihren Online-Auftritt mit HTTPS ab – allein schon, um bei Google besser zu ranken. Der Suchanbieter forciert zusammen mit anderen Herstellern wie Mozilla oder Microsoft den Umstieg auf eine verschlüsselte Kommunikation im Netz. In den Browsern Chrome, Firefox und Edge sind daher ungeschützte Webinhalte als potenziell unsicher gekennzeichnet.
Alle Webdienste brauchen Schutz
Der Fokus auf eine verschlüsselte Kommunikation im Netz hat durchaus seine Berechtigung. Zwar verarbeiten nur die wenigsten Online-Portale hochsensible Inhalte, aber eine ungeschützte Webseite kann dennoch eine Gefahr für Besucher darstellen. Beispielsweise nutzen Cyberkriminelle unverschlüsselte Verbindungen, um zielgerichtet Verbindungen zu korrumpieren und auf modifizierten Webseiten Schadsoftware zu verteilen. Dafür kommen etwa Man-in-the-Middle-Attacken (MITM) zum Einsatz, bei denen sich die Angreifer zwischen Nutzer und den Webserver der jeweiligen Internetseite einschleusen und die Kontrolle über den Datenverkehr übernehmen.
Cyberkriminelle nutzen Schwachstellen gezielt
Oftmals bilden solche MITM-Attacken den Ausgangspunkt für weiterführende Angriffe auf das System des Webseitenbesuchers und das dahinterliegende Netzwerk. In Kombination mit anderen Angriffsvektoren wie Spear Phishing ist so auch die Infiltration von Unternehmen; Behörden und anderen Organisationen möglich. Um dieser Gefahr zu begegnen, sollten möglichst alle Webseiten und Dienste im Netz konsequent mit HTTPS verschlüsselt werden.
HTTPS-Überblick: Das steckt dahinter
Technisch handelt es sich bei HTTPS um die Kombination von herkömmlichen Verbindungen mittels HTTP (Hypertext Transfer Protocol) in Kombination mit Verschlüsselung und Authentifizierung via SSL/TLS (Secure Sockets Layer / Transport Layer Security). SSL und dessen Nachfolger TLS sichern als kryptografische Zusatzschicht den Traffic im Netz. In der Praxis kommt heutzutage nahezu ausschließlich TLS zum Einsatz. Dennoch hat sich im Sprachgebraucht die Verschlüsselungsmethode mit der Bezeichnung “SSL/TLS” eingebürgert.
Für die eindeutige Authentifizierung von Servern und Domains sind SSL-Zertifikate erforderlich, die Seitenbetreiber bei Zertifizierungsstellen (englisch: Certificate Authority (CA)) erhalten. Die Zertifikate stellen die öffentlichen Schlüssel für den Aufbau der gesicherten Sitzungen zur Verfügung. Sobald die Rechtmäßigkeit der Domain sichergestellt ist und die notwendigen Schlüsselpaare zwischen Client und Webserver ausgetauscht wurden, kann eine geschützte Verbindung im Internet aufgebaut werden. Das Abhören, Manipulieren oder Übernehmen solcher Sitzungen gestaltet sich für Angreifer um ein Vielfaches schwieriger als bei herkömmlichem HTTPS.
Hundertprozentige Sicherheit garantiert aber auch HTTPS nicht, denn vor Implementierungsfehlern und Schwachstellen ist SSL/TLS trotz aller Sorgfalt nicht gefeit. Außerdem nutzen ebenso Cyberkriminelle die Technologie, um ihre Malware- und Phishing-Angriffe zu verschleiern. Dennoch stellt HTTPS ein zentrales Puzzleteil für IT-Sicherheit im Internet dar, das alle Webmaster und Seitenbetreibern beachten sollten.
Hundertprozentige Sicherheit garantiert aber auch HTTPS nicht, denn vor Implementierungsfehlern und Schwachstellen ist SSL/TLS trotz aller Sorgfalt nicht gefeit. Außerdem nutzen ebenso Cyberkriminelle die Technologie, um ihre Malware- und Phishing-Angriffe zu verschleiern. Dennoch stellt HTTPS ein zentrales Puzzleteil für IT-Sicherheit im Internet dar, das alle Webmaster und Seitenbetreibern beachten sollten.
Myra vereinfacht das SSL/TLS-Management
Die Myra DDoS Protection filtert auch HTTPS-geschützten Traffic und erlaubt eine einfache Verwaltung der dafür benötigten TLS-Zertifikate. Darüber hinaus sorgen die Myra-Sicherheitsexperten mittels SSL-Cipher-Management dafür, dass die TLS-Konfiguration stets den aktuellen Sicherheitsstandards entspricht.
Häufige Fragen zu HTTPS
Wie funktionieren HTTP und HTTPS?
Das Hypertext Transfer Protocol (HTTP) und das Hypertext Transfer Protocol Secure (HTTPS) funktionieren beide nach dem Client-Server-Prinzip. Als Client fungiert in der Regel der Webbrowser und als HTTP-Server der Webserver. Um eine Webseite aufzurufen, sendet der Webbrowser eine Anfrage an den Webserver, der diese bearbeitet, eine Antwort zurückschickt und die Verbindung schließt. Anfrage und Antwort bestehen aus einem Header mit Steuerinformationen und den eigentlichen Daten. Die Kommunikation selbst basiert auf dem Textformat und erfolgt über TCP (Transmission Control Protocoal) auf Port 80. In der Anfrage adressiert der Browser eine Datei auf dem Server, die dieser ihm schicken soll. Dazu übermittelt er im Header eine URL, die aus der Angabe des Transportprotokolls (http://), dem Servernamen (optional), dem Domainnamen und der abschließenden Top-Level-Domain (z.B. .de oder .com) besteht. Bei HTTPS authentifiziert sich der Server zusätzlich mit Hilfe eines SSL-Zertifikats gegenüber dem Client. Letzterer schickt dem Server im Anschluss eine zufällige Zahl, die mit dem Zertifikat des Servers verschlüsselt wurde. In weiterer Folge errechnen Client und Server einen Schlüssel, mit dem die weitere Kommunikation codiert wird.
Was ist der Unterschied zwischen HTTP und HTTPS?
Das Hypertext Transfer Protocol (HTTP) ist ein Kommunikationsprotokoll für die Datenübertragung und wird vor allem eingesetzt, um Seiten aus dem World Wide Web in einen Webbrowser zu laden. Das Hypertext Transfer Protocol Secure (HTTPS) ist ebenfalls ein Kommunikationsprotokoll im World Wide Web, mit dem sich im Gegensatz zu HTTP Daten verschlüsselt und somit möglichst abhör- sowie fälschungssicher übertragen lassen.
Warum HTTPS verwenden?
Das HTTPS-Protokoll (Hypertext Transfer Protocol Secure) erlaubt den Aufbau von verschlüsselten Verbindungen im Internet. Heutzutage arbeiten die meisten kommerziellen Webseiten und Internetdienste mit einer HTTPS-Verschlüsselung, die den Transportweg absichert. Diese gängige Praxis erschwert es Angreifer, den Datenverkehr bei der Übertragung zu belauschen.
Welche Verschlüsselung nutzt HTTPS?
Technisch handelt es sich bei HTTPS um herkömmliche Verbindungen mittels HTTP (Hypertext Transfer Protocol) in Kombination mit Verschlüsselung und Authentifizierung via SSL/TLS (Secure Sockets Layer / Transport Layer Security). SSL und dessen Nachfolger TLS sichern als kryptografische Zusatzschicht den Datenverkehr im Netz. In der Praxis kommt heutzutage nahezu ausschließlich TLS zum Einsatz. Dennoch hat sich im Sprachgebrauch die Verschlüsselungsmethode mit der Bezeichnung “SSL/TLS” eingebürgert. TLS benutzt ein asymmetrisches Verfahren für den Schlüsselaustausch. Die verschlüsselte Verbindung selbst verwendet hingegen ein symmetrisches Verfahren, um Performance-Einbußen zu vermeiden. Für die eindeutige Authentifizierung von Servern und Domains sind SSL-Zertifikate erforderlich, die Seitenbetreiber bei Zertifizierungsstellen erhalten.
IT-Security Insights
Immer auf dem neusten Stand
mit Myra Security
